探究PKI的跨區域一卡通應用

　　1. 引言

　　當前傳統的一卡通市場發展相對成熟，用戶已經習慣使用IC卡進行門禁、考勤、會員管理等應用。傳統一卡通系統使用ID卡或IC卡，利用卡的物理ID或在卡上數據區域(扇區)寫入用戶ID，作為用戶的身份ID，僅適合作為孤立的個體單位內部使用，不適合政府、大型企業、連鎖酒店等客戶的跨區域應用。

　　跨區域一卡通應用面臨以下挑戰：

　　(1)密鑰管理問題：從安全性的角度而言，不同區域一卡通應用需要采用不同的應用密鑰。而不同區域一卡通應用模式不完全一致，權限管理方式很難做到集中、垂直化管理，使得跨區域一卡通應用的密鑰管理復雜。

　　(2)非特定對象問題：跨區域應用的客戶對象通常并不確定。一般而言，本區域內部人員相對固定;但外來人員不確定。

　　(3)臨時性問題：跨區域的一卡通應用通常時間較短，需要解決臨時性授權問題。

　　(4)系統安全性問題：卡的掛失需要涉及多個區域的系統數據更新。

　　目前，通信運營商以CA為中心、以PKI(Public Key Infrastructure，公鑰基礎設施)體系為基礎設施，發行具備內置移動客戶數字證書的非接觸卡或RFID-SIM卡，實現內部一卡通應用以及外部手機支付、電子票務公交一卡通等電子商務應用。

　　2. 系統方案

　　2.1 系統框圖

　　系統包括以下功能實體：

　　(1)門禁感應器(考勤、消費機具)

　　1)讀取用戶PKI相關數據，發送給一卡通業務平臺進行處理;

　　2)完成相應門禁、考勤、消費業務流程。

　　(2)一卡通業務平臺

　　1)用戶數據維護;

　　2)配合機具完成相應門禁、考勤、消費、來訪管理業務流程;

　　3)離線用戶身份認證;

　　4)在線用戶身份認證;

　　5)證書同步。

　　(3)認證鑒權服務平臺

　　1)對用戶PKI數據進行驗證;

　　2)與一卡通業務平臺接口，實現證書同步。

　　2.2 業務流程

　　流程說明如下：

　　(1)用戶在本區域一卡通應用流程

　　用戶在本區域一卡通應用流程如圖2所示。

　　1)讀卡器產生隨機數發送給通寶卡;

　　2)通寶卡對隨機數進行數字簽名，將簽名后的數據發給讀卡器;

　　3)讀卡器將簽名相關數據(UCID、簽名)發送給一卡通業務平臺，一卡通業務平臺轉發給認證鑒權服務平臺;

　　4)認證鑒權服務平臺對用戶簽名數據進行驗證，返回錯誤或用戶手機號碼、用戶證書給一卡通業務平臺;

　　5)一卡通業務平臺將用戶的UCID作為用戶內部身份信息寫入相應的機具與應用數據庫;

　　6)對于常規應用場合，用戶使用UCID作為門禁、考勤、消費等應用的用戶ID;

　　7)對高安全應用場合，一卡通業務平臺使用用戶證書對用戶通寶卡進行本地離線驗證或將相關數據(UCID、簽名)轉發給認證鑒權服務平臺對用戶身份進行認證。

　　(2)用戶跨區域一卡通應用流程

　　用戶跨區域一卡通應用流程如圖3所示。

　　1)用戶通過網絡申請異地一卡通權限，一卡通業務平臺以用戶手機號碼為標記，記錄用戶授權信息;

　　2)用戶到達異地后，使用通寶卡進行刷卡;

　　3)讀卡器產生隨機數發送給通寶卡;

　　4)通寶卡對隨機數進行數字簽名，將簽名后的數據發給讀卡器;

　　5)讀卡器將簽名相關數據(UCID、簽名)發送給一卡通業務平臺，一卡通業務平臺轉發給認證鑒權服務平臺;

　　6)認證鑒權服務平臺對用戶簽名數據進行驗證，返回錯誤或用戶手機號碼、用戶證書給一卡通業務平臺;

　　7)一卡通業務平臺將用戶的UCID作為用戶內部身份信息，同時將時限信息寫入相應的機具與應用數據庫;

　　8)用戶使用通寶卡進行異地一卡通應用(如門禁、消費、會議簽到等)。

　　2.3 業務特點

　　利用PKI進行異地一卡通應用，可以較好地解決跨區域企業一卡通應用所面臨的問題。

　　(1)由于用戶的PKI是唯一數字身份標記，用戶身份的合法性是后臺通過PKI驗證確定的，且與手機號碼進行綁定。以手機號碼作為索引，通過PKI驗證過程，即可確認身份。因此對于跨區域應用，只需使用一張通寶卡即可。[論文網]

　　(2)對于密鑰管理問題，PKI為非對稱密鑰體系，PKI數據驗證通過認證鑒權服務平臺或本地離線認證完成，門禁一卡通系統無需與卡共享密鑰，從而解決了密鑰管理問題。

　　(3)對于非特定對象的臨時跨區域應用問題，可以通過用戶手機號碼作為索引，預先通過網站進行臨時申請，異地一卡通后臺根據用戶的手機號碼，與PKI驗證數據進行比較，若在可授權范圍內，即可將用戶UCID作為異地一卡通系統授權數據，寫入一卡通系統相應機具與后臺。

　　將PKI應用于跨區域一卡通系統，只需增加用戶認證模塊，對原有企業一卡通系統無需做大的改造，即可實現用戶使用一張卡同時在本地與異地進行一卡通應用的需求。系統實施的技術與商務門檻低。

　　3. 結語

　　本文研究了利用移動認證PKI實現跨區域一卡通應用的方案。該方案將移動客戶數字證書作為跨區域一卡通系統用戶身份標記，通過離線或在線身份認證，來解決傳統一卡通系統在跨區域應用時由于解決非特定對象臨時跨區域使用問題而導致卡片應用文件數量大、密鑰管理困難、用戶信息需全局存儲等問題。可以較好地解決諸如大型企業、政府、連鎖酒店等單位的跨區域一卡通應用需求，目前該研究方案已成功應用于某公司培訓中心跨區域一卡通系統。